Google declaró el lunes que ha frustrado una operación de ciberdelincuencia que utilizaba lo que la empresa cree que es el primer exploit de día cero desarrollado con inteligencia artificial, un hito que los expertos en seguridad advirtieron que escalaría drásticamente el panorama de las ciberamenazas para las empresas.
"Ya está aquí", afirmó John Hultquist, analista jefe de Mandiant, la rama de inteligencia de amenazas de Google, en un informe. "La era de la vulnerabilidad y la explotación impulsada por la IA ya está aquí. La IA va a ser una ventaja enorme porque pueden moverse mucho más rápido".
El exploit, implementado como un script de Python, se dirigía a una vulnerabilidad previamente desconocida en una popular herramienta de administración web de código abierto, lo que permitía a un atacante eludir la autenticación de dos factores (2FA). Aunque no se nombró la herramienta específica ni el actor de la amenaza, Google dijo que tenía "alta confianza" en que se utilizó un modelo de IA para crear el código del exploit.
El descubrimiento marca un cambio crucial, pasando el uso de la IA en los ciberataques de un peligro teórico a una realidad confirmada. Este avance podría forzar una reevaluación general de las posturas de seguridad en todas las industrias, ya que los modelos de IA pueden reducir drásticamente el tiempo y la habilidad necesarios para descubrir y convertir en armas las vulnerabilidades del software.
Sellos distintivos de la IA en el código malicioso
La confianza de Google en los orígenes de IA del exploit proviene del propio código. La empresa señaló que el script de Python contenía una abundancia de cadenas de documentación (docstrings) educativas, una puntuación CVSS "alucinada" y un formato estructurado de libro de texto muy característico de los datos utilizados para entrenar modelos de lenguaje grandes (LLM).
La vulnerabilidad en sí era un fallo de lógica semántica de alto nivel resultante de una suposición de confianza codificada, un tipo de error que los LLM, entrenados en vastas bases de código, son particularmente hábiles en identificar.
Actores patrocinados por estados adoptan la IA
El informe también destacó que los ciberdelincuentes con motivaciones financieras no son los únicos que utilizan la IA. Los equipos de inteligencia de Google han observado a grupos patrocinados por estados de China y Corea del Norte utilizando activamente LLM para mejorar sus capacidades ofensivas.
Se observó a un actor vinculado a China, UNC2814, utilizando "jailbreaks" basados en personajes (instruyendo a una IA para que actuara como un experto en seguridad) para ayudar en su investigación de vulnerabilidades en el firmware de TP-Link. Un grupo de Corea del Norte rastreado como APT45 supuestamente envió miles de instrucciones repetitivas para analizar recursivamente vulnerabilidades conocidas y validar exploits de prueba de concepto, construyendo un arsenal más robusto de lo que sería práctico sin la ayuda de la IA.
Una nueva carrera armamentista en ciberseguridad
El incidente subraya la naturaleza de doble uso de la IA avanzada. Mientras que los actores de amenazas la utilizan para acelerar los ataques, la misma tecnología se está posicionando como una herramienta defensiva crítica. Empresas como Anthropic y OpenAI están desarrollando modelos de IA especializados destinados a ayudar a los defensores a encontrar y parchear vulnerabilidades en sus propios sistemas.
Esto crea un nuevo frente en la carrera armamentista de la ciberseguridad, enfrentando a atacantes potenciados por IA contra defensores potenciados por IA. Por ahora, los expertos predicen un "periodo de transición" en el que los riesgos de ciberseguridad aumentarán significativamente a medida que las empresas se apresuren a adaptarse a un mundo en el que su software puede ser sondeado en busca de debilidades a una escala y velocidad sin precedentes.
Este artículo es solo para fines informativos y no constituye asesoramiento de inversión.
